Memantau Aktivitas Pengendalian

Penyebutan aktivitas pengendalian untuk mendapatkan tingkat risiko yang selaras dengan selera risiko, konsisten dengan pemahaman bahwa pengendalian adalah sebuah proses. Konsep ini sangat kontras dengan pemahaman lama bahwa pengendalian (internal) adalah alat dan metodologi, atau sekumpulan alat dan metodologi yang membentuk struktur (building block). Konsep lama tentang pengendalian, mengesankan sifat statis, yang tidak cocok dengan pembahasan risiko, yang dinamis.

Proses adalah kata kerja aktif, demikian juga dengan aktivitas, sehingga menampakkan suatu dinamika. Bagi organisasi, demikian juga jabatan dan fungsi hasil kaskadingnya, mencapai tujuan adalah proses yang dinamis. Dalam perjalanan waktu, ciri dan mekanisme aktivitas pengendalian akan terus berubah.

Dapat dipastikan bahwa merancang pengendalian dan membiarkannya bekerja tanpa pemantauan efektivitasnya, serta upaya penyempurnaannya, adalah tidak selaras dengan maksud perancangan dan penerapannya. Upaya mengelola risiko, adalah siklus tanpa henti dari langkah-langkah: merancang, menerapkan, mengevaluasi dan menyempurnakan. Menjadi pertanyaan kemudian kapan pengendalian harus ditinjau ulang dan disempurnakan?

Jangka waktu penyesuaian pengendalian akan berbeda-beda untuk setiap organisasi. Tergantung kegiatan dan lingkungan industrinya, perubahan tersebut dapat terjadi dalam satuan waktu yang sangat pendek. Waktu hidup produk jasa yang semakin pendek, tutut menjadi tanda bahwa pengendalian segera using, karena risiko dalam bisnis juga semakin cepat berubah.

Demikian juga besaran perubahan dalam setiap terjadi perubahan semakin besar juga, sehingga beberapa pelaku dalam suatu industri memilih untuk menghentikan kegiatannya. Mereka yang mundur dari sebuah industri, berkesimpulan bahwa lebih mudah dan lebih murah untuk masuk ke sektor baru, daripada menyesuaikan pengendaliannya untuk menutup celah kapabilitas yang dikehendaki pasar.

Menjadi agak kurang benar bahwa banyak perusahaan meninjau ulang pengendaliannya, karena terbitnya kerangka konsep baru. Seorang pimpinan fungsi audit internal, menjadi risau karena terbitnya konsep COSO Internal Control Integrated Framework (COSO ICIF) pada tahun 2013. Demikian juga pada saat ERM COSO 2017 terbit, banyak perusahaan menjadi kuno, karena masih “memedomani” ERM COSO 2004. Hal ini berlaku juga pada waktu ISO 31000-2009 memiliki penerus ISO 31000-2018.

Aktivitas Pengendalian adalah salah elemen yang menyusun baik konsep Pengendalian Internal maupun Manajemen Risiko. Menjadi mengherankan, mengapa pengurus perusahaan tidak merasa ketinggalan jika tidak mengadopsi (COSO) ERM dan meninggalkan Pengendalian Internal (COSO ICIF). Atau dengan kata lain, apakah mereka tidak merasa bahwa menerapkan sekaligus Pengendalian Internal yang dikoordinasikan Fungsi Audit Internal, dan Manajemen Risiko yang dikoordinasi Fungsi Manajemen Risiko bukan aktivitas yang betrumpukan (redundant).

Membadingkan pengendalian internal (COSO ICIF) dengan manajemen risiko (ERM COSO), lebih mudah menilik pada tujuan penerapannya. Keduanya membantu organisasi untuk secara wajar meyakinkan tercapainya tujuan-tujuan: Operasional, Pelaporan dan Kepatuhan. Menjadi tujuan manajemen risiko dan tidak menjadi tujuan pengendalian adalah tujuan Stratejik.

Dilekatkannya tujuan stratejik pada manajemen risiko mengharuskan elemen pengendalian Lingkungan Pengendalian diubah menjadi Lingkungan Internal. Elemen pengendalian Asesmen Risiko, diurai menjadi Penetapan Tujuan, Menemukenali Kejadian, Asesmen Risiko dan Respon Risiko.

Menjadikan Strategi sebagai salah satu tujuan, mengijinkan manajemen organisasi memiliki pilihan yang sangat luas tentang aktivitas pengendalian. Lebih lugasnya pembahasan tentang selera risiko (risk appetite), manajemen boleh mengasumsikan risiko dengan segala konskekuensi hasil pemantauannya. Kebutuhan meninjau ulang aktivitas pengendalian akan tergantung dari penerimaan risiko yang diambil.

Dengan menerima risiko yang rendah, aktivitas pengendalian akan sangat kuat. Selera risiko akan tidak mudah terlampaui. Dengan risiko yang terhitung, akan dibutuhkan waktu yang relatif panjang bagi perusahaan untuk mrubah profil pengendalian karena terlampauinya toleransi risiko (risk tolerance). Hal yang sebaliknya akan berlaku. Manajemen yang memilih selera risiko tinggi, selera risiko dan toleransi risikonya akan lebih cepat terlampaui. Akibatnya kebutuhan untuk meninkau ulang dan merubah profil pengendalian akan datang lebih segera.

Sumber : https://bengkelgrc.id/2021/01/07/memantau-aktivitas-pengendalian/

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *